信息系統(tǒng)環(huán)境下審計風(fēng)險的特征及評估

信息系統(tǒng)環(huán)境下審計風(fēng)險的特征及評估

摘要：現(xiàn)代企業(yè)的業(yè)務(wù)運作更加依賴于計算機網(wǎng)絡(luò)信息系統(tǒng)，但由于信息系統(tǒng)本身特點所具有的脆弱性，將使審計遇到風(fēng)險。審計風(fēng)險因客戶的會計系統(tǒng)和內(nèi)部控制使用計算機而呈現(xiàn)出新的特征。

關(guān)鍵詞：信息系統(tǒng)；審計風(fēng)險；風(fēng)險特征；風(fēng)險評估

國際會計師聯(lián)合會的國際審計與保證準(zhǔn)則委員會為提高審計質(zhì)量，于2003年10月發(fā)布了新準(zhǔn)則，對審計風(fēng)險模型作出重大改動。其中ISA200準(zhǔn)則把審計風(fēng)險模型改為：審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。審計風(fēng)險模型的變化從某種意義上減少了審計的責(zé)任，縮小了審計風(fēng)險的范疇，本文對審計風(fēng)險的理解并不局限于社會審計，也包括內(nèi)部審計和國家審計，所以在這里仍采用“審計風(fēng)險AR=固有風(fēng)險IR×控制風(fēng)險CR×檢查風(fēng)險DR”風(fēng)險模型進行分析。

一、信息系統(tǒng)環(huán)境下審計風(fēng)險的特征

信息系統(tǒng)環(huán)境下固有風(fēng)險的特征

1存在電子數(shù)據(jù)被濫用、篡改和丟失的可能性。手工系統(tǒng)中，紙質(zhì)介質(zhì)上的信息易于辨認(rèn)、追溯。而在計算機信息系統(tǒng)環(huán)境下，由于存儲介質(zhì)的改變，信息高度集中于計算機信息系統(tǒng)，信息系統(tǒng)應(yīng)用程序被惡意篡改，或非法入侵信息系統(tǒng)造成經(jīng)濟損失的可能性致使審計的固有風(fēng)險增大。一旦用戶非法透過計算機系統(tǒng)的“防火墻”，數(shù)據(jù)被不法分子拷貝，甚至可能被進行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù)，會造成實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符，增加固有審計風(fēng)險的可能性。

2存在審計線索被減少或消除的可能性。手工環(huán)境中，會計處理的每一個步驟都有文字記錄和經(jīng)手人簽名，審計線索清晰。但在信息系統(tǒng)環(huán)境中，從原始數(shù)據(jù)錄入到報表的自動生成，傳統(tǒng)的審計線索不復(fù)存在，利用信息技術(shù)也難以實現(xiàn)如簽名、蓋章等這些使審計線索證據(jù)化的操作，對審計人員查找審計線索帶來了較大困難。

3存在原始數(shù)據(jù)被錄入錯漏的可能性。計算機信息系統(tǒng)環(huán)境下，大量的記賬憑證仍靠人工錄入，機制證賬表表面上的相互平衡，可能掩蓋人工錄入時發(fā)生的錯漏。系統(tǒng)的二次開發(fā)工作，有可能會削弱之前在計算機信息系統(tǒng)中已經(jīng)設(shè)置好的控制，從而可能產(chǎn)生新的審計風(fēng)險因素。

信息系統(tǒng)環(huán)境下控制風(fēng)險的特征

1存在約束機制失效的可能性。手工系統(tǒng)下通過建立崗位責(zé)任中心達(dá)到內(nèi)部控制的目的，在計算機系統(tǒng)下，一是通過劃分操作員的責(zé)任范圍，設(shè)置權(quán)限和密碼實現(xiàn)人員職責(zé)分工；二是通過軟件設(shè)計劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計算機信息系統(tǒng)中許多不相容職責(zé)相對集中，可能因為不恰當(dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險，權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置，使這一控制措施有可能形同虛設(shè)。

2存在會計數(shù)據(jù)異常的可能性。手工系統(tǒng)下，會計數(shù)據(jù)異常的可能性幾乎不存在；而在計算機系統(tǒng)下，這種可能性難以通過有效的內(nèi)控制度消除，必須以先進的硬、軟件平臺以及會計軟件本身的自我保護，減少出現(xiàn)異常錯誤的機率。就多數(shù)會計軟件看，對數(shù)據(jù)錄入的一致性和正確性控制，會計數(shù)據(jù)處理的安全性和連續(xù)性控制，軟件設(shè)計還是比較慎密的。但對集成化程度較高的企業(yè)級管理軟件，數(shù)據(jù)的共享性和一致性還不完善，系統(tǒng)設(shè)計時可能沒有考慮到審計工作的需要，沒有留下充分的審計線索，如：修改功能將導(dǎo)致無會計軌跡。計算機信息系統(tǒng)主要以磁盤、磁帶、光盤等磁性存儲介質(zhì)作為信息載體，記錄于這些存儲介質(zhì)上的信息是肉眼不可見的，必須借助于計算機的“翻譯”，才能以人可以理解的形式表現(xiàn)出來，但不同的軟件對同一信息可能被“翻譯”成不同的形式。

3存在實時控制失控的可能性。會計軟件對現(xiàn)金和銀行存款的收付業(yè)務(wù)缺乏實時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的經(jīng)濟業(yè)務(wù)，多數(shù)軟件是通過人工填制記賬憑證，從各系統(tǒng)入口錄入到電腦，部分軟件雖通過系統(tǒng)實時地錄入，但可能與憑證數(shù)據(jù)不同步；對于現(xiàn)金和銀行存款收付業(yè)務(wù)，不僅數(shù)據(jù)難以實時同步，而且存在雙方數(shù)據(jù)不一致的可能性。

信息系統(tǒng)環(huán)境下檢查風(fēng)險的特征

1存在難以查找歷史資料的可能性。對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù)，由于軟件版本的升級、平臺的遷移等被審計軟件的更新?lián)Q代，可能導(dǎo)致難以從往年賬套里讀取歷史數(shù)據(jù)，迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù)，這不僅降低了審計效率，而且還將帶來更多的檢查風(fēng)險。

2存在難以全面檢查測試的可能性。手工系統(tǒng)下，內(nèi)部控制的情況看得見、摸得著，都有據(jù)可查；而在計算機信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依賴于軟件本身，內(nèi)部控制融于系統(tǒng)軟件之中使審計人員無法通過傳統(tǒng)方法覺察，這就要求審計人員設(shè)計一套正常有效的業(yè)務(wù)數(shù)據(jù)和一套例外的業(yè)務(wù)數(shù)據(jù)，以檢查測試應(yīng)用軟件的控制能力。如果在進行計算機信息系統(tǒng)設(shè)計時考慮不周，計算機信息系統(tǒng)可能無法判斷出某類數(shù)據(jù)是否符合邏輯，對不合理的數(shù)據(jù)可能也會進行日常處理。并且對錯誤數(shù)據(jù)的處理還具有重復(fù)性和連續(xù)性，從而可能導(dǎo)致審計人員誤認(rèn)為是正常處理。由于多數(shù)審計人員并非電腦專家，要在有限的審計時間里設(shè)計完善的測試數(shù)據(jù)是不現(xiàn)實的。為此，我們認(rèn)為對系統(tǒng)軟件本身的審計檢查可納入軟件開發(fā)或評審之中，審計人員在審計實務(wù)中，重點是測試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應(yīng)用情況。

3存在難以控制技術(shù)風(fēng)險的可能性。對網(wǎng)絡(luò)交易而言，當(dāng)在交易環(huán)節(jié)中人工干涉變得越來越少時，對控制信息技術(shù)是否有效進行的檢查將更具實際意義。信息技術(shù)控制包括數(shù)據(jù)存儲控制和數(shù)據(jù)處理控制等，如對程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運行；在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時，災(zāi)難防御計劃能使信息處理功能迅速恢復(fù)，這些都是任何信息化交易需要加以關(guān)注的基本審計風(fēng)險。隨著網(wǎng)絡(luò)交易越來越廣泛，圍繞顧客為特征的、并基于計算機或因特網(wǎng)的信息處理過程，對審計人員而言，降低這種檢查風(fēng)險將比任何時候都更具重要意義。

綜上所述，計算機信息系統(tǒng)環(huán)境下審計風(fēng)險有其特有的表現(xiàn)形式，審計人員面臨著新的風(fēng)險。然而審計環(huán)境的變化并不能改變審計責(zé)任，審計人員仍應(yīng)保持應(yīng)有的執(zhí)業(yè)謹(jǐn)慎，并采取適當(dāng)?shù)膶徲嫵绦蚴癸L(fēng)險控制在可接受的水平上。

二、信息系統(tǒng)環(huán)境下的審計風(fēng)險評估

一般來說，在計算機網(wǎng)絡(luò)信息系統(tǒng)覆蓋了一個企業(yè)的營銷、計劃、生產(chǎn)、采購、倉儲、財務(wù)、人力資源等企業(yè)運營管理的各個層面，如果對每個流程和控制點都進行評估，在資源的利用上是非常不經(jīng)濟的，我們可以通過以下方式來降低審計風(fēng)險：對于建立了長期業(yè)務(wù)關(guān)系的被審計單位，可以通過要求其加強內(nèi)外部安全機制、完善軟件功能、改進數(shù)據(jù)錄入技術(shù)；可以通過要求其統(tǒng)一文件存貯的格式，降低歷史文件難以打開閱讀的可能性。如，對不同時期版本的會計軟件，采取統(tǒng)一的文件格式存貯，以便于審計師使用輔助審計軟件打開審查；制定會計軟件行業(yè)標(biāo)準(zhǔn)，統(tǒng)一數(shù)據(jù)格式和外部接口。

檢查風(fēng)險評估

設(shè)計一套有針對性的審計檢查程序，一是檢查被審計單位的權(quán)限設(shè)置，審查操作日志，發(fā)現(xiàn)疑點；二是檢查被審單位的報表取數(shù)公式，重新生成一次并與被審計單位提供的比較；三是查閱銷售的原始合同，或利用輔助審計軟件整理匯總，并與會計賬面數(shù)據(jù)進行核對；四是檢查賬實是否相符，這里既包括手工環(huán)境下的賬實相符，也包括計算機信息系統(tǒng)環(huán)境下的各子系統(tǒng)之間的數(shù)據(jù)相符；五是檢查憑證記錄的真實性、資產(chǎn)及負(fù)債的合理性、期末交易的歸屬期、內(nèi)部管理控制制度的完備性和會計政策的一貫性。

控制風(fēng)險評估

計算機網(wǎng)絡(luò)信息系統(tǒng)的控制評估必須基于風(fēng)險管理的原則，通過風(fēng)險評估尋找對主要業(yè)務(wù)運作中影響最大的領(lǐng)域。我們可以從企業(yè)整個業(yè)務(wù)風(fēng)險域中尋找對與財務(wù)報表有關(guān)的風(fēng)險的業(yè)務(wù)流程，從而進一步確定系統(tǒng)模塊對業(yè)務(wù)流程的支持，在實際工作中，一般是通過對業(yè)務(wù)流程所使用系統(tǒng)模塊的頻繁程度來確定評估范圍。

在進行調(diào)研和風(fēng)險評估中，如果發(fā)現(xiàn)計算機網(wǎng)絡(luò)信息系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運轉(zhuǎn)影響比較大。由于業(yè)務(wù)控制的削弱，這種影響導(dǎo)致企業(yè)出現(xiàn)違規(guī)問題的可能性增加。例如，企業(yè)管理層非常關(guān)注財務(wù)控制內(nèi)部和外部流程，因為這些流程決定了財務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運作是否健康的“脈搏”。因此，在審計中通常就要更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護、銷售訂單處理、發(fā)運、開票、退貨和收款等控制內(nèi)容。

對于可能客觀存在的審計風(fēng)險，審計人員必須保持職業(yè)謹(jǐn)慎，運用專業(yè)判斷，對被審計單位的審計風(fēng)險各要素進行全面的評估，確定可接受的審計風(fēng)險水平。

參考文獻：

[1]Warren，JDonald，LynnwEdelsonandXeniaLeyP